Firewall

Cisco ASA:允許已建立的流量返回

  • October 8, 2015

我有一個帶有兩個介面的 Cisco ASA 5505(版本 8.2(2));內部(安全級別 100)和外部(安全級別 50)。裡面有一個子網,10.1.1.0/24。

從內部到外部的流量沒有 NAT;由上游路由器處理。

我想配置防火牆,以便內部介面上的任何系統都可以啟動與外界的連接並接收返回流量,但外界無法啟動與內部系統的連接。讓流量出去很容易:

access-list inside_in extended permit IP 10.1.1.0 255.255.255.0 any 

但是我需要在 ASA 上進行什麼配置才能讓響應返回而不向所有流量打開防火牆?通常這是由 NAT 處理的,但在這種情況下,我不想使用 NAT。

上次我檢查時,從高安全區(100)穿越到低安全區時,您不需要定義規則,預設情況下是允許的。

話雖如此,您需要查看已建立的文件。快速瀏覽一下安全級別的文件也沒有什麼壞處。

預設情況下,ASA 是有狀態的。如果您允許流量流出(通過安全級別處理或通過 ACL),它將自動允許返回流量通過。

我傾向於相信您實際上遇到了nat 控制問題。Nat-control 強制使用 NAT,也就是說,如果啟用了 nat-control,則任何通過防火牆介面的流量都必須進行 NAT,否則將被丟棄。在 8.2 程式碼中,預設啟用nat-control 。

由於您提到您沒有在防火牆上進行 NAT,因此您還必須使用全域配置中的命令**no nat-control禁用 nat-control。**那,或者配置 NAT Exemptions 來指示您的防火牆不對您的流量進行 NAT,同時仍然滿足 nat-control。

要檢查它是否已啟用:show run nat-control

引用自:https://serverfault.com/questions/153131